В этом месяце: ФСБ арес­товала учас­тни­ков хак‑груп­пы REvil, экспер­ты обна­ружи­ли UEFI-вре­донос MoonBounce, Canon вынуж­дена объ­яснять поль­зовате­лям, как обой­ти защиту DRM, из‑за DDoS-ата­ки без свя­зи оста­лась неболь­шая стра­на, неиз­вес­тные укра­ли дан­ные у Крас­ного Крес­та, а так­же дру­гие инте­рес­ные новос­ти.
 

Аресты участников REvil

В середи­не янва­ря 2022 года ФСБ и Следс­твен­ный депар­тамент МВД объ­яви­ли об арес­те 14 человек, свя­зан­ных с хак‑груп­пой REvil, а по 25 адре­сам в Мос­кве, Санкт‑Петер­бурге, Ленин­градской и Липец­кой областях прош­ли обыс­ки.

«Осно­вани­ем для разыс­кных мероп­риятий пос­лужило обра­щение ком­петен­тных орга­нов США, сооб­щивших о лидере прес­тупно­го сооб­щес­тва и его при­час­тнос­ти к посяга­тель­ствам на информа­цион­ные ресур­сы зарубеж­ных высоко­тех­нологич­ных ком­паний путем внед­рения вре­донос­ного прог­рам­мно­го обес­печения, шиф­рования информа­ции и вымога­тель­ства денеж­ных средств за ее дешиф­рование, — гла­сило офи­циаль­ное сооб­щение ФСБ. — ФСБ Рос­сии уста­нов­лен пол­ный сос­тав прес­тупно­го сооб­щес­тва „REvil“ и при­час­тность его чле­нов к неп­равомер­ному обо­роту средств пла­тежей, осу­щест­вле­но докумен­тирова­ние про­тивоп­равной деятель­нос­ти».

В резуль­тате обыс­ков были изъ­яты «денеж­ные средс­тва: свы­ше 426 000 000 руб­лей, в том чис­ле в крип­товалю­те, 600 000 дол­ларов США, 500 000 евро, а так­же компь­ютер­ная тех­ника, крип­токошель­ки, исполь­зовав­шиеся для совер­шения прес­тупле­ний, 20 авто­моби­лей пре­миум‑клас­са, при­обре­тен­ные на денеж­ные средс­тва, получен­ные прес­тупным путем».

Ин­терес­но, что, по дан­ным запад­ных СМИ, во вре­мя этих рей­дов был арес­тован человек, ответс­твен­ный за взлом круп­ней­шего в США опе­рато­ра тру­боп­роводов Colonial Pipeline.

Colonial Pipeline, занима­ющий­ся тран­спор­тиров­кой топ­лива, пос­тра­дал от ата­ки шиф­роваль­щика DarkSide в мае 2021 года. Эта ата­ка, из‑за которой в ряде шта­тов был вве­ден режим ЧС, ста­ла той самой соломин­кой, спо­соб­ной перело­мить спи­ну вер­блю­да: вни­мание пра­воох­ранитель­ных орга­нов к шиф­роваль­щикам уси­лилось, и на хакер­ских форумах пос­пешили зап­ретить рек­ламу вымога­тель­ско­го ПО вооб­ще.

Хо­тя ответс­твен­ность за ата­ку на Colonial Pipeline взя­ла на себя хак‑груп­па DarkSide, а недав­ние задер­жания и обыс­ки были свя­заны с REvil, не исклю­чено, что кто‑то из задер­жанных ранее «работал» в дру­гой хак‑груп­пе или вов­се в обе­их одновре­мен­но.

Вско­ре пос­ле арес­тов экспер­ты ком­пании Trustwave изу­чили, о чем теперь говорят в рус­ско­языч­ном дар­кне­те, и приш­ли к выводу, что мно­гие прес­тупни­ки напуга­ны слу­чив­шимся и боль­ше не счи­тают Рос­сию «безопас­ной гаванью». Так­же неред­ко кри­тику­ют дей­ствия REvil, которые при­вели к кра­ху груп­пы, и при­зыва­ют дру­гих не под­ражать такому поведе­нию.

Мно­гие в кри­миналь­ном под­полье убеж­дены, что самый боль­шой про­вал REvil — это показ­ное хвас­товс­тво сво­ими дос­тижени­ями и нападе­ния на мно­гомил­лиар­дные кор­порации, рас­положен­ные в стра­нах, которые мог­ли вынудить рос­сий­ское пра­витель­ство при­нять меры.

Так­же инте­рес­но, что мно­гие прес­тупни­ки пред­полага­ют, буд­то опе­рация ФСБ на самом деле была лишь «шоу» для Запада и все слу­чив­шееся не обер­нется серь­езны­ми проб­лемами для задер­жанных. Одной из воз­можных при­чин такой фаль­сифика­ции называ­ют желание Рос­сии «задоб­рить США» и тем самым избе­жать допол­нитель­ных эко­номи­чес­ких сан­кций.

400 000 000 долларов в криптовалюте

  • По дан­ным блок­чейн‑ана­лити­ков из ком­пании Chainalysis, свя­зан­ные с Север­ной Коре­ей хакеры укра­ли крип­товалю­ту на сум­му поч­ти 400 мил­лионов дол­ларов, взло­мав 7 ком­паний в 2021 году. Годом ранее объ­ем похищен­ных средств оце­нивал­ся в 300 мил­лионов дол­ларов.

  • Сог­ласно иссле­дова­нию, 58% укра­ден­ных средств приш­лись на Ethereum (ETH), тог­да как доля бит­коина (BTC) сос­тавила толь­ко 20% от укра­ден­ных средств.

 

RCE в Dark Souls

Раз­работ­чики серии игр Dark Souls были вынуж­дены вре­мен­но отклю­чить ПК‑сер­веры Dark Souls (Remastered, Dark Souls 2, Dark Souls 3 и Dark Souls: PtDE) из‑за опас­ной RCE-уяз­вимос­ти, которая поз­воляла уда­лен­но зах­ватить кон­троль над чужой машиной.

Экс­пло­ит для этой уяз­вимос­ти был про­демонс­три­рован широкой пуб­лике пря­мо во вре­мя Twitch-стри­ма. Стри­мер The Grim Sleeper играл в Dark Souls 3, и уже в кон­це эфи­ра с его компь­юте­ром начало про­исхо­дить что‑то непонят­ное. Сна­чала игра прос­то вылета­ла раз за разом, а пос­ле неожи­дан­но вклю­чилось авто­мати­чес­кое пре­обра­зова­ние тек­ста в речь от Microsoft, и син­тезиро­ван­ный голос при­нял­ся кри­тико­вать гей­мплей стри­мера.

The Grim Sleeper был очень удив­лен и сооб­щил, что сам по себе открыл­ся Microsoft PowerShell, то есть хакер исполь­зовал его для запус­ка скрип­та, который акти­виро­вал фун­кцию пре­обра­зова­ния тек­ста в речь.

По­хоже, что стри­мер не прос­то стал жер­твой слу­чай­ного трол­ля. Судя по скрин­шоту из Discord SpeedSouls, взлом­щик обна­ружил уяз­вимость некото­рое вре­мя назад и пытал­ся свя­зать­ся по это­му поводу с раз­работ­чиками из FromSoftware, одна­ко его про­игно­риро­вали, и тог­да он начал взла­мывать стри­меров, пыта­ясь прив­лечь вни­мание к проб­леме.

При этом раз­работан­ный фаната­ми игры анти­чит Blue Sentinel уже обновлен и спо­собен помешать экс­плу­ата­ции уяз­вимос­ти. Его соз­датели объ­ясни­ли, что цир­кулиру­ющие по сети сооб­щения об утеч­ке экс­пло­ита в откры­тый дос­туп — ложь, ведь о том, как исполь­зовать эту проб­лему, зна­ли толь­ко четыре челове­ка, двое из которых — раз­работ­чики Blue Sentinel, а еще двое — люди, помогав­шие «работать над этим». Ско­рее все­го, речь о тех, кто обна­ружил баг.

Раз­работ­чики и пред­ста­вите­ли Bandai Namco, изда­теля Dark Souls, не сооб­щили, как дол­го сер­веры игр будут отклю­чены, но ясно, что над исправ­лени­ем уяз­вимос­ти уже работа­ют. Отдель­но под­черки­вает­ся, что отклю­чение не рас­простра­няет­ся на PvP-сер­веры для Xbox и PlayStation.

YouTube не для недовольных

Под­водя ито­ги 2021 года и обра­щаясь к соз­дателям кон­тента, гла­ва YouTube Сьюзен Вод­жицки (Susan Wojcicki) уде­лила вни­мание зло­бод­невной теме — недав­нему отклю­чению счет­чика диз­лай­ков на YouTube. Судя по все­му, воз­вра­щения кон­крет­ных цифр рядом с кноп­кой «не нра­вит­ся» мож­но не ждать.

«От мно­гих из вас мы слы­шим [жалобы] на уда­ление счет­чика диз­лай­ков на YouTube, и я знаю, что это решение было спор­ным. Некото­рые из упо­мяну­тых диз­лай­ков помога­ли решить, какие видео сто­ит смот­реть. Одна­ко видео могут не нра­вить­ся людям по раз­ным при­чинам, в том чис­ле по тем, которые не име­ют никако­го отно­шения к самим видео, а зна­чит, это далеко не всег­да [мож­но исполь­зовать] как точ­ный кри­терий выбора видео для прос­мотра.

Так­же мы замети­ли, что счет­чик диз­лай­ков наносит ущерб час­ти нашей эко­сис­темы из‑за атак, в ходе которых люди активно „нак­ручива­ли“ количес­тво диз­лай­ков под видео кон­крет­ного авто­ра. Эти ата­ки час­то были нацеле­ны на более мел­ких соз­дателей кон­тента и начина­ющих. Мы хотим, что­бы каж­дый чувс­тво­вал, что может выразить себя без при­тес­нений»

— из выс­тупле­ния Вод­жицки

 

UEFI-малварь MoonBounce

В кон­це 2021 года, изу­чая логи Firmware Scanner, экспер­ты «Лабора­тории Кас­пер­ско­го» обна­ружи­ли ком­про­мета­цию на уров­не про­шив­ки UEFI. Даль­нейший ана­лиз показал, что зло­умыш­ленни­ки модифи­циро­вали один из ком­понен­тов в иссле­дуемом обра­зе про­шив­ки, а это поз­волило им изме­нить цепоч­ку выпол­нения в UEFI и внед­рить вре­донос­ный код, запус­каемый при стар­те машины.

Про­ана­лизи­ровав ком­понен­ты модифи­циро­ван­ной про­шив­ки и дру­гие арте­фак­ты вре­донос­ной активнос­ти в сети жер­твы, иссле­дова­тели приш­ли к выводу, что в иссле­дуемую про­шив­ку был внед­рен вре­донос­ный код, который получил имя MoonBounce.

Осо­бен­ность MoonBounce в том, что мал­варь скры­вает­ся не в раз­деле ESP (EFI System Partition), где обыч­но рас­полага­ется часть кода UEFI, а сра­зу внед­ряет­ся во флеш‑память SPI, рас­положен­ную на материн­ской пла­те. То есть вре­донос может запус­кать­ся как пос­ле пере­уста­нов­ки опе­раци­онной сис­темы, так и пос­ле фор­матиро­вания или замены жес­тко­го дис­ка. Фак­тичес­ки бут­кит оста­нет­ся на заражен­ном устрой­стве вплоть до переп­рошив­ки SPI-памяти (а это очень слож­ный про­цесс) или замены материн­ской пла­ты.

По информа­ции иссле­дова­телей, MoonBounce — это уже тре­тий бут­кит UEFI, который встре­чал­ся ИБ‑ана­лити­кам и был спо­собен заражать SPI-память. Пре­дыду­щие два слу­чая — это мал­варь LoJax и MosaicRegressor.

Ис­сле­дова­тели заяви­ли, что MoonBounce исполь­зовал­ся как спо­соб под­держи­вать дос­туп к заражен­ному хос­ту и раз­верты­вать мал­варь на вто­ром эта­пе ата­ки. Фак­тичес­ки пока MoonBounce был раз­вернут толь­ко один раз (в сети неназ­ванной тран­спортной ком­пании), и, осно­выва­ясь на дру­гой мал­вари, раз­верну­той в той же сети, иссле­дова­тели пред­положи­ли, что MoonBounce — это работа китай­ской кибер­шпи­онской груп­пиров­ки APT41.

Так, MoonBounce и дру­гие вре­доно­сы, обна­ружен­ные в сети жер­твы, час­то свя­зыва­лись с одной и той же сер­верной инфраструк­турой, отку­да они, ско­рее все­го, получа­ли инс­трук­ции от APT41.

Единс­твен­ной загад­кой для иссле­дова­телей пока остался спо­соб уста­нов­ки и рас­простра­нения MoonBounce.

На 35% больше Linux-малвари

  • Ана­лити­ки ком­пании CrowdStrike под­счи­тали, что в 2021 году количес­тво атак на Linux-девай­сы вырос­ло на 35%. Чаще все­го такая мал­варь ата­кова­ла IoT-устрой­ства и исполь­зовала их для DDoS-атак.

  • Зло­умыш­ленни­ки так­же исполь­зуют умные устрой­ства под управле­нием дис­три­бути­вов Linux для май­нин­га крип­товалю­ты, про­веде­ния спам‑кам­паний, в качес­тве рет­ран­сля­торов и управля­ющих сер­веров, а порой и вов­се как точ­ку про­ник­новения в кор­поратив­ные сети.

  • В 2021 году количес­тво мал­вари для Linux вырос­ло на 35% по срав­нению с 2020 годом.

  • XorDDoS, Mirai и Mozi были наибо­лее рас­простра­нен­ными семей­ства­ми вре­доно­сов, на их долю при­ходи­лось 22% всех атак, нацелен­ных на Linux.

  • Mozi демонс­три­рует взрыв­ной рост активнос­ти: за про­шед­ший год в сети цир­кулиро­вало в 10 раз боль­ше образцов этой мал­вари (по срав­нению с пре­дыду­щим годом).

  • XorDDoS тоже показы­вает рост на 123% по срав­нению с 2020 годом.

 

Взлом Красного Креста

Один из сто­рон­них под­рядчи­ков Крас­ного Крес­та в Швей­царии, отве­чав­ший за хра­нение дан­ных, под­вер­гся хакер­ской ата­ке, которая при­вела к утеч­ке лич­ной информа­ции 515 тысяч человек. Все эти люди вхо­дили в прог­рамму «Вос­ста­нов­ление семей­ных свя­зей», которая помога­ет вос­соеди­нять семьи, раз­лучен­ные вой­ной, сти­хий­ными бедс­тви­ями, миг­раци­ей.

Об инци­ден­те сооб­щил Меж­дународ­ный комитет Крас­ного Крес­та, по све­дени­ям которо­го, укра­ден­ные зло­умыш­ленни­ками дан­ные были соб­раны как минимум 60 раз­личны­ми фили­ала­ми Крас­ного Крес­та и Крас­ного Полуме­сяца по все­му миру. О самой ата­ке и тех­ничес­ких под­робнос­тях про­изо­шед­шего в Крас­ном Крес­те прак­тичес­ки ничего не сооб­щили, так как куда боль­ше пред­ста­вите­лей орга­низа­ции бес­поко­ит воз­можная утеч­ка похищен­ных дан­ных.

«Хотя мы не зна­ем, кто несет ответс­твен­ность за эту ата­ку и почему они это сде­лали, у нас есть обра­щение к этим людям, — пишет Роберт Мар­дини, генераль­ный дирек­тор Меж­дународ­ного комите­та Крас­ного Крес­та. — Ваши дей­ствия потен­циаль­но могут при­чинить еще боль­ше вре­да и боли тем, кто уже перенес невыра­зимые стра­дания. Нас­тоящие люди и нас­тоящие семьи, сто­ящие за дан­ными, которы­ми вы сей­час вла­деете, отно­сят­ся к чис­лу наиме­нее вли­ятель­ных в мире. Пожалуй­ста, пос­тупите пра­виль­но. Не делитесь эти­ми дан­ными, не про­давай­те, не раз­гла­шай­те и не исполь­зуйте их никаким иным обра­зом».

Сайт прог­раммы «Вос­ста­нов­ление семей­ных свя­зей», на котором мож­но подать зап­рос на помощь в поис­ке про­пав­ших без вес­ти чле­нов семьи, вре­мен­но зак­рыт, а Крас­ный Крест уже рас­сле­дует слу­чив­шееся.

В орга­низа­ции «пот­рясены и оза­даче­ны» тем, что подоб­ная гумани­тар­ная информа­ция мог­ла стать чьей‑то целью и под­вер­глась ком­про­мета­ции.

Новый DDoS-рекорд: 3,47 Тбит/с

  • Ста­ло извес­тно, что в нояб­ре 2021 года ком­пания Microsoft отра­зила мас­штаб­ную DDoS-ата­ку, нацелен­ную на кли­ента Azure из Азии. Мощ­ность ата­ки сос­тавила 3,47 Тбит/с и 340 000 000 пакетов в секун­ду. При этом пиковая мощ­ность еще одной ата­ки сос­тавила 3,25 Тбит/с (UDP-ата­ка на пор­ты 80 и 443), а треть­ей — 2,55 Тбит/с (UDP-флуд на порт 443).

  • Ата­ки были нацеле­ны на неназ­ванно­го кли­ента Microsoft Azure из Азии и на сегод­няшний день явля­ются самыми мощ­ными из всех извес­тных. Сооб­щает­ся, что для орга­низа­ции DDoS были задей­ство­ваны более 10 000 машин со все­го мира.

 

OpenSubtitles заплатили выкуп

Ад­минис­тра­ция сай­та OpenSubtitles, который пре­дос­тавля­ет бес­плат­ные суб­титры для филь­мов, сери­алов и про­чих виде­ома­тери­алов, приз­налась, что в прош­лом году ресурс был взло­ман. Напом­ню, что OpenSubtitles вхо­дит в 5000 самых посеща­емых сай­тов в интерне­те по вер­сии Amazon Alexa и Tranco. Ата­ка зат­ронула дан­ные 6,7 мил­лиона поль­зовате­лей, но хакеры получи­ли выкуп и пообе­щали мол­чать.

Со­общить о прош­логод­ней ата­ке OpenSubtitles вынуди­ла про­изо­шед­шая на этой неделе утеч­ка: укра­ден­ные в прош­лом году дан­ные все же про­сочи­лись в сеть, и копию этих фай­лов уже про­индекси­ровал сайт HaveIBeenPwned. Как заяв­ляет OpenSubtitles, в ходе инци­ден­та были укра­дены дан­ные 6 783 158 поль­зовате­лей, зарегис­три­рован­ных на сай­те. В руки зло­умыш­ленни­ков попали хеши email-адре­сов, име­на поль­зовате­лей и пароли в виде MD5.

«Сайт был соз­дан в 2006 году, мы мало зна­ли о безопас­ности, поэто­му пароли хра­нились в виде md5() без соли», — приз­нают опе­рато­ры OpenSubtitles.

Фак­тичес­ки это озна­чает, что боль­шинс­тво похищен­ных паролей мож­но лег­ко взло­мать, а на сай­те уже появи­лось сооб­щение о том, что код OpenSubtitles обно­вил­ся и поль­зовате­лям рекомен­дует­ся поменять пароли.

Сог­ласно офи­циаль­ному заяв­лению, взлом и вымога­тель­ство име­ли мес­то еще в августе 2021 года. При­чем во взло­ме опе­рато­ры сай­та винят одно­го из адми­нис­тра­торов, который исполь­зовал сла­бый пароль.

«В августе 2021 года мы получи­ли сооб­щение в Telegram от хакера, который пре­дос­тавил нам доказа­тель­ства того, что он может получить дос­туп к поль­зователь­ской таб­лице opensubtitles.org, и уже ска­чал отту­да SQL-дамп.

Он пот­ребовал выкуп в бит­коинах, что­бы не раз­гла­шать эту информа­цию, и пообе­щал уда­лить все [укра­ден­ные] дан­ные.

Мы с тру­дом сог­ласились, потому что сум­ма была немалая. Пос­ле хакер объ­яснил нам, как он смог получить дос­туп, и помог испра­вить ошиб­ку. С тех­ничес­кой точ­ки зре­ния он сумел взло­мать сла­бый пароль суперад­мина и получил дос­туп к незащи­щен­ному скрип­ту, который был дос­тупен толь­ко для суперад­минис­тра­торов. Этот скрипт поз­волял выпол­нять SQL-инъ­екции и извле­кать дан­ные», — гла­сит офи­циаль­ное объ­ясне­ние.

Рекордное количество утечек и перехватов BGP

  • Ком­пания Qrator Labs под­вела ито­ги чет­верто­го квар­тала 2021 года. В сво­ем отче­те ана­лити­ки отдель­но отме­чают рекор­дное количес­тво уни­каль­ных BGP-инци­ден­тов, свя­зан­ных с перех­ватом тра­фика: в течение нояб­ря 17 798 авто­ном­ных сис­тем сге­нери­рова­ли перех­ваты BGP (BGP Hijacks), что сос­тавило 16,3% от обще­го чис­ла авто­ном­ных сис­тем в мире.

  • Дру­гой «рекорд» BGP был пос­тавлен по количес­тву уте­чек мар­шру­тов BGP (Rout Leaks) за месяц. Так, декабрь 2021 года показал рекор­дное количес­тво уте­чек мар­шру­тов — более 10 000 000. Это поч­ти в 2 раза боль­ше, чем в пер­вые два месяца чет­верто­го квар­тала.

  • Сум­марные же утеч­ки мар­шру­тов в чет­вертом квар­тале более чем в два раза пре­выша­ют показа­тели треть­его квар­тала — 19 852 504 в чет­вертом квар­тале про­тив 7 589 347 в треть­ем.
 

Проблемы Intel и Blu-ray

Ком­пания Intel отка­залась от под­дер­жки SGX (Software Guard Extension) в про­цес­сорах Intel Core 11000 и 12000 12-го поколе­ния. В резуль­тате машины с эти­ми про­цес­сорами не смо­гут вос­про­изво­дить дис­ки Blu-ray с раз­решени­ем 4K.

Хо­тя в 2022 году дис­ки Blu-ray могут показать­ся арха­измом, все не сов­сем так. Дело в том, что они по‑преж­нему поль­зуют­ся спро­сом, так как час­то име­ют кол­лекци­онную цен­ность, а так­же людям прос­то нра­вит­ся иметь неч­то физичес­кое и ося­заемое, а не толь­ко смот­реть филь­мы в онлайн‑киноте­атрах. Кро­ме того, дис­ки Blu-ray могут пред­ложить 4K-кон­тент без под­клю­чения к интерне­ту, а качес­тво и ста­биль­ность в дан­ном слу­чае гаран­тирова­ны, в отли­чие от потоко­вой переда­чи.

Проб­лемы с Blu-ray-дис­ками воз­ника­ют из‑за того, что они защище­ны с помощью DRM, а для работы этой тех­нологии тре­бует­ся наличие SGX. Тех­нология SGX, которую Intel пред­ста­вила еще в 2016 году в поколе­нии Skylake, впер­вые поз­волила ПК вос­про­изво­дить защищен­ные дис­ки Blu-ray. Увы, теперь, в спе­цифи­кации про­цес­соров Core 11-го и 12-го поколе­ний тех­нология SGX помече­на как уста­рев­шая, поэто­му будет недос­тупна.

Су­дя по все­му, в ком­пании решили отка­зать­ся от SGX из‑за того, что в пос­ледние годы ИБ‑спе­циалис­ты обна­ружи­вали все боль­ше уяз­вимос­тей в тех­нологии анкла­вов. Так как боль­шинс­тво поль­зовате­лей не слиш­ком тре­вожит воз­можность вос­про­изве­дения Blu-ray на ПК, это решение было для ком­пании прос­тым.

Ком­пания CyberLink, раз­рабаты­вающая PowerDVD, уже обно­вила свой FAQ, сооб­щив о проб­леме с новыми про­цес­сорами Intel и заявив, что решить ее невоз­можно.

«Уда­ление фун­кции SGX и ее сов­мести­мость с пос­ледни­ми вер­сиями ОС Windows и драй­верами пос­тавили перед CyberLink серь­езную проб­лему, свя­зан­ную с под­дер­жкой вос­про­изве­дения Ultra HD Blu-ray в нашем пле­ере. Проб­лема нас­толь­ко серь­езна, что CyberLink боль­ше не может под­держи­вать вос­про­изве­дение филь­мов в фор­мате Ultra HD Blu-ray на новых про­цес­сорах и новей­ших плат­формах Windows», — пре­дуп­редили в CyberLink.

По­ка раз­работ­чики популяр­ного пле­ера могут посове­товать поль­зовате­лям лишь оста­вать­ся на более ста­рых про­цес­сорах Intel, а так­же не обновлять­ся до Windows 11, что­бы избе­жать замены необ­ходимых драй­веров.

Центробанк против криптовалют

Не­дав­но Цен­тро­банк выс­тупил с пред­ложени­ем зап­ретить в Рос­сии выпуск, май­нинг и обра­щение крип­товалют в любом виде. По мне­нию экспер­тов ЦБ, допуск крип­товалют в рос­сий­скую финан­совую сис­тему соз­даст «огромный риск финан­совой ста­биль­нос­ти, который через бан­ки и дру­гих учас­тни­ков может заразить всю финан­совую сис­тему», а ито­гом ста­нет «соз­дание парал­лель­ной финан­совой сис­темы, не под­чиня­ющей­ся пра­вилам».

С позици­ей ЦБ не сог­ласились мно­гие, вклю­чая даже рос­сий­ский Мин­фин, а свои мне­ния о ситу­ации выс­казали самые раз­ные спе­циалис­ты. Не остался в сто­роне и Павел Дуров.

«Зап­рет крип­товалют, пред­ложен­ный Цен­тро­бан­ком Рос­сии, при­ведет к отто­ку из стра­ны IT-спе­циалис­тов и унич­тожит ряд отраслей высоко­тех­нологич­ной эко­номи­ки.

Ни одна раз­витая стра­на не зап­реща­ет крип­товалю­ты. При­чина: такой зап­рет неиз­бежно затор­мозит раз­витие блок­чейн‑тех­нологий в целом. Эти тех­нологии повыша­ют эффектив­ность и безопас­ность мно­гих видов челове­чес­кой деятель­нос­ти — от финан­сов до искусс­тва.

Рос­сия сегод­ня — один из лидеров по количес­тву высокок­лас­сных спе­циалис­тов блок­чейн‑индус­трии. Вдум­чивое регули­рова­ние поз­волит стра­не сба­лан­сировать рас­пре­деле­ние сил в меж­дународ­ной финан­совой сис­теме и стать одним из круп­ных игро­ков новой эко­номи­ки.

Стрем­ление регули­ровать хож­дение крип­товалют естес­твен­но со сто­роны любого финан­сового орга­на. Одна­ко, рекомен­дуя наложить тоталь­ный зап­рет на крип­товалю­ты, ЦБ РФ пред­лага­ет вып­леснуть с водой и ребен­ка. Такой зап­рет едва ли оста­новит недоб­росовес­тных игро­ков, но пос­тавит крест на легаль­ных рос­сий­ских про­ектах в этой сфе­ре»

— Дуров в сво­ем Telegram-канале

 

Canon учит обходить DRM

Ком­пания Canon стол­кну­лась с дефици­том чипов, которы­ми обыч­но осна­щают­ся ори­гиналь­ные кар­трид­жи с чер­нилами и тонером. В ито­ге было при­нято решение вре­мен­но про­изво­дить кар­трид­жи без чипов, и про­изво­дитель офи­циаль­но сооб­щил, как обой­ти DRM-защиту и исполь­зовать такие рас­ходни­ки.

Ни для кого не сек­рет, что прин­теры и МФУ уже дав­но содер­жат DRM-защиту, которая не поз­воля­ет при­менять сто­рон­ние кар­трид­жи с чер­нилами и тонером. Ком­пании — про­изво­дите­ли прин­теров заяв­ляют, что ори­гиналь­ные кар­трид­жи с чипами могут «повысить качес­тво и про­изво­дитель­ность» обо­рудо­вания, а так­же обес­печива­ют «наилуч­шее пот­ребитель­ское качес­тво» и защища­ют устрой­ства от сто­рон­них под­делок.

При этом про­дажа рас­ходни­ков обес­печива­ет ком­пани­ям немалую часть дохода. К при­меру, ком­пания Gillette при­дума­ла про­давать руч­ки для сво­их бритв по дешев­ке, что­бы затем про­дать боль­ше насадок для них, и с годами такую модель с энту­зиаз­мом переня­ли и про­изво­дите­ли прин­теров, вклю­чая Lexmark, HP, Canon и Brother.

Обыч­но про­изво­дите­ли встра­ивают спе­циаль­ные чипы в свои кар­трид­жи, что­бы прин­теры «аутен­тифици­рова­ли» рас­ходный матери­ал. Одна­ко теперь, в усло­виях нех­ватки чипов, от это­го при­ходит­ся отка­зывать­ся. В час­тнос­ти, ком­пания Canon была вынуж­дена сооб­щить сво­им немец­ким кли­ентам, как обой­ти DRM-защиту.

«Из‑за про­дол­жающей­ся нех­ватки полуп­ровод­никовых ком­понен­тов во всем мире Canon стол­кну­лась с проб­лемами в закуп­ке опре­делен­ных элек­трон­ных ком­понен­тов, которые исполь­зуют­ся в рас­ходных матери­алах для наших МФУ, — гла­сит сооб­щение на немец­ком сай­те служ­бы под­дер­жки Canon. — Что­бы обес­печить неп­рерыв­ную и надеж­ную пос­тавку рас­ходных матери­алов, мы решили пос­тавлять рас­ходные матери­алы без полуп­ровод­никовых ком­понен­тов до тех пор, пока ситу­ация с пос­тавка­ми не нор­мализу­ется».

Нуж­но ска­зать, что став­ший дефицит­ным чип сооб­щает прин­теру, ког­да уро­вень тонера ста­новит­ся низ­ким. Полез­ная фун­кция, но ее так­же исполь­зуют для бло­киров­ки сто­рон­них кар­трид­жей — без чипа прин­тер не узна­ет, сколь­ко чер­нил или тонера оста­лось в кар­трид­же, пред­положит, что тот пуст, и отка­жет­ся печатать.

Как теперь сооб­щает Canon, ПО прин­теров поз­воля­ет отно­ситель­но прос­то обой­ти эту про­вер­ку. Ког­да пос­ле уста­нов­ки кар­трид­жа появит­ся сооб­щение об ошиб­ке, поль­зовате­ли могут нажать прос­то «I Agree», «Close» или «OK» и про­дол­жить исполь­зовать устрой­ство как обыч­но. Есть лишь один нюанс: исполь­зуя рас­ходни­ки без чипов, поль­зовате­ли не получат пре­дуп­режде­ний о том, что чер­нила или тонер в их устрой­стве ско­ро закон­чатся.

45 минут на взлом

  • По оцен­кам спе­циалис­тов ком­пании Positive Technologies, если в сетевом перимет­ре ком­пании при­сутс­тву­ет трен­довая уяз­вимость с пуб­личным экс­пло­итом, то на про­ник­новение в сеть зло­умыш­ленни­ку понадо­бит­ся око­ло 45 минут.

  • К «трен­довым» проб­лемам спе­циалис­ты отно­сят популяр­ные у кибер­прес­тупни­ков уяз­вимос­ти, которые могут начать мас­сово исполь­зовать­ся в бли­жай­шее вре­мя. С такими багами зло­умыш­ленни­ку не нуж­ны ни осо­бые навыки в про­веде­нии ана­лиза защищен­ности, ни навыки прог­рамми­рова­ния. По дан­ным экспер­тов, для 80% уяз­вимос­тей, исполь­зуемых в ата­ках зло­умыш­ленни­ками в 2020–2021 годах, сущес­тво­вали пуб­лично дос­тупные экс­пло­иты.

 

Let’s Encrypt отзывает сертификаты

28 янва­ря 2022 года неком­мерчес­кая орга­низа­ция Let’s Encrypt отоз­вала око­ло двух мил­лионов SSL/TLS-сер­тифика­тов, пос­коль­ку те были выпуще­ны некор­рек­тно.

В офи­циаль­ном сооб­щении инже­нер Let’s Encrypt Джил­лиан Тес­са (Jillian Tessa) объ­ясни­ла, что 25 янва­ря некая третья сто­рона сооб­щила орга­низа­ции о двух проб­лемах в коде импле­мен­тации метода про­вер­ки «TLS с исполь­зовани­ем ALPN» (BRs 3.2.2.4.20, RFC 8737) в Boulder — прог­рам­мном обес­печении для ACME (Automatic Certificate Management Environment).

«Все активные сер­тифика­ты, которые были выпуще­ны и про­вере­ны с помощью TLS-ALPN-01 до 00:48 UTC 26 янва­ря 2022 года, ког­да был раз­вернут наш патч, счи­тают­ся выпущен­ными некор­рек­тно», — пишет Тес­са.

По оцен­кам орга­низа­ции, проб­лема зат­ронула менее одно­го про­цен­та активных сер­тифика­тов. Одна­ко это все рав­но огромное количес­тво — око­ло двух мил­лионов сер­тифика­тов, так как в нас­тоящее вре­мя в мире активно око­ло 221 мил­лиона сер­тифика­тов, выдан­ных Let’s Encrypt.
Все, кого кос­нулась эта проб­лема, дол­жны получить уве­дом­ления по элек­трон­ной поч­те, и им понадо­бит­ся прод­ление сер­тифика­та.

Опасность старых доменов

  • 22,3% уста­рев­ших доменов могут быть опас­ны. К таким выводам приш­ли экспер­ты Palo Alto Networks, которые еще в сен­тябре прош­лого года сле­дили за десят­ками тысяч доменов ежед­невно. Спе­циалис­ты почер­пну­ли идею для это­го иссле­дова­ния во вре­мя ата­ки на ком­панию SolarWinds, ког­да выяс­нилось, что зло­умыш­ленни­ки полага­лись на домены, зарегис­три­рован­ные за нес­коль­ко лет до непос­редс­твен­ного начала вре­донос­ной активнос­ти.

  • Пос­ле тща­тель­ного наб­людения за мно­жес­твом доменов иссле­дова­тели приш­ли к выводу, что при­мер­но 3,8% из них явно вре­донос­ны, 19% — подоз­ритель­ны и 2% — небезо­пас­ны для рабочей сре­ды.

  • Оче­вид­ным приз­наком вре­донос­ного домена экспер­ты называ­ют вне­зап­ный всплеск тра­фика. К тому же домены, не пред­назна­чен­ные для обыч­ного исполь­зования, име­ют непол­ный, кло­ниро­ван­ный или сом­нитель­ный кон­тент. Так­же отсутс­тву­ют дан­ные о вла­дель­це в WHOIS. Еще одним явным приз­наком вре­донос­ного ста­рого домена слу­жит соз­дание под­доменов с исполь­зовани­ем DGA (domain generation algorithm).

  • Од­ним из при­меча­тель­ных слу­чаев, опи­сан­ных в отче­те, ста­ла шпи­онская кам­пания Pegasus, в которой исполь­зовались два C&C-домена, зарегис­три­рован­ных еще в 2019 году и «прос­нувших­ся» в июле 2021 года. Домены с DGA сыг­рали важ­ную роль в той кам­пании: на них приш­лось 23,22% тра­фика в день акти­вации, что в 56 раз пре­выша­ло обыч­ные объ­емы DNS-тра­фика. Через нес­коль­ко дней тра­фик и вов­се дос­тиг 42,04%.

 

DDoS целой страны

Ор­ганизо­ван­ный Twitch тур­нир по Minecraft, смо­дели­рован­ный по пра­вилам популяр­ного сери­ала Netflix «Игра в каль­мара», стал при­чиной мощ­ных DDoS-атак на единс­твен­ного интернет‑про­вай­дера Андорры. Ата­ки уда­рили по про­вай­деру Andorra Telecom и на нес­коль­ко часов отклю­чили связь по всей стра­не.

Все ата­ки сов­падали по вре­мени с пря­мыми тран­сля­циями тур­нира Squidcraft Games, который пред­лагал победи­телю приз в раз­мере 100 тысяч дол­ларов США и был открыт толь­ко для испа­ноязыч­ных поль­зовате­лей из стран Евро­пы и Латин­ской Аме­рики. Начиная со вто­рого дня сорев­нований DDoS-ата­ки мешали игро­кам из Андорры под­клю­чить­ся к тур­ниру, так как мес­тный интернет‑про­вай­дер не справ­лялся с объ­емом пос­тупа­юще­го тра­фика.

В ито­ге более десяти игро­ков из Андорры, вклю­чая стри­меров Auron, Grefg и Vicens, вынуж­дены были отка­зать­ся от учас­тия в тур­нире, оста­вив борь­бу за приз игро­кам из Испа­нии и Латин­ской Аме­рики.

ИБ‑спе­циалис­ты сооб­щали, что некото­рые из атак дос­тигали пиковой мощ­ности 100 Гбит/с. При этом ата­ки были свя­заны с извес­тны­ми сер­висами DDoS по най­му, то есть, похоже, нек­то, не име­ющий собс­твен­ного бот­нета, купил дос­туп к «огне­вой мощи» имен­но ради про­веде­ния атак во вре­мя тур­нира.

400 000 долларов за уязвимости в Microsoft Outlook

  • Из­вес­тный бро­кер экс­пло­итов и уяз­вимос­тей Zerodium объ­явил, что готов вып­латить до 400 000 дол­ларов за уяз­вимос­ти нулево­го дня, которые поз­волят осу­щес­твить уда­лен­ное выпол­нение кода в поч­товом кли­енте Microsoft Outlook. Ранее раз­мер мак­сималь­ной вып­латы сос­тавлял 250 000 дол­ларов. За ана­логич­ные баги в Mozilla Thunderbird ком­пания готова зап­латить до 200 000 дол­ларов.

  • Воз­награж­дения за баги в Mozilla Thunderbird и Microsoft Outlook были уве­личе­ны вре­мен­но. Zerodium не уточ­няет, на какую плат­форму дол­жны быть ори­енти­рова­ны экс­пло­иты, но оба поч­товых кли­ента име­ют вер­сии для всех трех основных опе­раци­онных сис­тем — Windows, macOS и Linux.

 

NFT все-таки скам

Раз­работ­чики круп­ней­шего NFT-мар­кет­плей­са OpenSea сооб­щили, что око­ло 80% соз­данных бес­плат­но NFT — это мошен­ничес­тво, пла­гиат или спам. Из‑за это­го тор­говая пло­щад­ка взя­ла курс на огра­ниче­ние количес­тва бес­плат­ных NFT, которые может соз­дать поль­зователь.

Но­вос­ти о раз­личном ска­ме и мошен­ничес­тве, свя­зан­ном с NFT, появ­ляют­ся едва ли не каж­дый день. К при­меру, недав­но в Minecraft собира­лись запус­тить сер­вер Blockverse, на котором поль­зовате­ли мог­ли бы соз­давать NFT во вре­мя игры, а затем про­давать их. Что­бы попасть на сер­вер, игро­ки дол­жны были при­обрести у раз­работ­чиков NFT, про­дажа которых стар­товала 24 янва­ря 2022 года. Но ког­да все 10 тысяч нев­заимо­заме­няемых токенов были про­даны за счи­таные минуты, соз­датели про­екта перес­тали вхо­дить на связь и исчезли, «зарабо­тав» таким спо­собом око­ло 1,2 мил­лиона дол­ларов.

Соз­датели круп­ных тор­говых пло­щадок для NFT прек­расно зна­ют о количес­тве ска­ма, окру­жающе­го нев­заимо­заме­няемые токены. И теперь соз­датели OpenSea рас­ска­зали, какая часть NFT-активнос­ти на плат­форме отно­сит­ся к мошен­ничес­тву и пла­гиату.

Сна­чала раз­работ­чики OpenSea объ­яви­ли, что огра­ничат соз­дание бес­плат­ных NFT до 50, то есть имен­но столь­ко поль­зователь смо­жет соз­давать бес­плат­но с помощью инс­тру­мен­тов плат­формы. Так называ­емый ленивый мин­тинг поз­воля­ет поль­зовате­лям не пла­тить комис­сию за газ при соз­дании NFT на OpenSea (при этом покупа­тель в ито­ге пла­тит комис­сию во вре­мя сдел­ки), поэто­му сер­вис весь­ма популя­рен.

Та­кое решение OpenSea выз­вало бурю негодо­вания сре­ди поль­зовате­лей, мно­гие из которых жалова­лись, что теперь не могут соз­давать NFT вов­се. Вско­ре пос­ле это­го OpenSea объ­яви­ла, что сни­мет огра­ниче­ния, но так­же при­вела некото­рые аргу­мен­ты в поль­зу таких мер: ком­пания заяви­ла, что бес­плат­ный инс­тру­мент в основном исполь­зует­ся в мошен­ничес­ких целях.

«В пос­леднее вре­мя мы наб­люда­ем экспо­нен­циаль­ный рост зло­упот­ребле­ний этой фун­кци­ей. Более 80% пред­метов, соз­данных с помощью это­го инс­тру­мен­та, были пла­гиатом, кол­лекци­ями‑под­делка­ми или спа­мом, — пишут раз­работ­чики в Twitter. — Помимо отме­ны решения, мы уже про­раба­тыва­ем ряд дру­гих мер, что­бы гаран­тировать, что мы под­держи­ваем соз­дателей, одновре­мен­но сдер­живая зло­умыш­ленни­ков».

СМИ отме­чают, что, пред­при­нимая подоб­ные шаги, OpenSea рис­кует сво­ей репута­цией, но про­исхо­дящее дает некото­рое пред­став­ление о мас­шта­бах проб­лемы мошен­ничес­тва, свя­зан­ного с бес­плат­ным соз­дани­ем NFT.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии